CVE董事会会议摘要 - 2018年5月2日

[：“棺材，克里斯” <ccoffin@mitre.org>]

CVE董事会Meeting 2 May 2018

出席董事会成员

威廉·考克斯（Synopsys）

贝弗利·芬奇（联想）

肯特·兰德菲尔德（McAfee）

斯科特·摩尔（IBM）

帕斯卡Meunier（Cerias/Purdue University）

kurt seifried（redhat）

Dave Waltermire（NIST）

Andy Balinsky (Cisco)

MITER CVE团队的成员出席

克里斯·科芬

克里斯汀的交易

乔纳森·埃文斯（Jonathan Evans）

Joe Sain

乔治·蒂尔（George Theall）

议程

2:00 – 2:10:上次会议的介绍，行动项目- 克里斯·科芬（Chris Coffin）

2:10 - 2:30：工作组

• 战略计划 - 克里斯·科芬
• 自动化 - Chris Johnson，Dave Waltermire

2:30 - 2:50：CNA更新

• DWF - Kurt Seifried
• MITER - 乔纳森·埃文斯（Jonathan Evans），尼克·卡伦（Nick Caron）

2：50 - 3:15：RSA会议的要点- 乔·塞恩（Joe Sain）

3:15 - 3:30：木板Charter更新状态和下一步- 克里斯·科芬（Chris Coffin）

3:30 - 3:50：公开讨论

3：50 - 4:00：动作项目，总结- 克里斯·科芬（Chris Coffin）

上次会议的行动项目的审查

以前的操作项目：Send email to the Board list to get opinions on a potential Charter update that would allow opening WG participation to anyone, not just Board members and CNAs. Is a Charter update needed to describe this or does the Board feel this is already implied?

• 地位：发送电子邮件至5/2。Dave Waltermire认为，这是一个事实，即讨论的意义表明有必要在《宪章》中添加澄清。是否应该在每次WG宪章或总体董事会宪章中进行澄清？戴夫（Dave）建议董事会宪章中的词语说：“当组建工作组时，单个WG宪章将指示工作组的参与模型。”可以指出一个默认立场，除非另有说明，否则WG将向公众开放。小组决定现场编辑《宪章》；编辑版将进行审查和投票（今天至周日之间的审查期；投票期开始于5月7日星期一，将持续两周）。

Previous Action Item：MITRE to talk to Kurt about DWF resources and helping him where needed.

• 地位：Will setup meeting this week or next.

Previous Action Item：乔纳森（Jonathan）和克里斯（Chris）讨论获得董事会的一些原始数据，以告知CNA报告卡。

• 地位：Done.

Previous Action Item：MITER将向董事会发送电子邮件，向他们询问有关分配CVE ID的旧漏洞或漏洞的价值的输入，这些价值永远不会修补。

• 地位：还没有完成。

Previous Action Item：MITER将与CNA通信有关使用CNA名称的保留CVE ID标记的标签。也将包括标记或不标记的利弊，并鼓励CNA添加他们的想法和疑虑。

• 地位：还没有完成。

议程项目

董事会工作组

Strategic Planning Working Group (Kent Landfield)

ISSUES：浏览了角色演示的一些更新；克里斯·莱文迪斯（Chris Levendis）希望确保我们走上正确的道路（提供目标等）。幻灯片要进行的主要更改涉及更新过程流。讨论了对ID分配服务的需求 - 最好分配一个从不更改不同CNA的块？乔纳森·埃文斯（Jonathan Evans）将它们称为“年份”块和“前缀模型”。如果我们要使用类似的事情，它将消除对ID分配服务的需求。

There is a need to encourage “good behavior” and discourage “bad behavior” with regard to using and publishing CVE IDs.

行动：将一些用例放在一起，以使问题声明得到充分阐明，然后发送给董事会。

董事会决定：N/A。

自动化工作组（克里斯·约翰逊 /克里斯·科芬）

问题：周一自动化工作组会议中提出的动作项目是为JSON格式和CNA注册表发送宪章，以及AWG本身。克里斯·约翰逊（Chris Johnson）希望获得董事会的批准，代表了必要的AWG活动。项目存储库已在GitHub上设立，我们将建立这些存储库。实施了要求NVD的JSON格式的更改（名称属性，对空白的处理方式的更改）。NVD正在发送新代码，以启用从存储库而不是Allitems.xml文件的CVE列表的生成。

有关于外展活动的讨论 - 随着参与的增加，谁将成为参与AWG的合适候选人？还讨论了为了旋转小组的准备，您需要解释我们的过程（参与渠道，访问GitHub帐户，POC，POCS，用户故事，报告等）。Kurt提供了样本文档，因此我们有一些示例可供使用。我们还讨论了问题管理和通信机制，可以将其添加到流程文档中。

行动：克里斯·约翰逊（Chris Johnson）将向AWG和AWG项目宪章的审查和批准将电子邮件转发给董事会。克里斯·约翰逊（Chris Johnson）将汇总一份草稿文件，并在Github上进行审查。

董事会决定：N/A。

CNA更新

DWF（Kurt Seifried）

地位：No updates

问题/讨论：N/A。

行动：N/A。

MITER（CVE团队）

地位：两个要成为CNA的请求 - 一个是Xen（转称为DWF），一个是Teltonica（立陶宛的IoT Maker）。乔纳森（Jonathan）将尝试从他们那里获取更多信息。自上周以来没有新的CNA。

讨论：N/A。

行动：没有任何

RSA会议的要点(Joe Sain）

讨论：乔有一个博览会通行证，所有的时间都在地板上度过。看起来越来越多的公司正在研究查看现有数据供稿的分析平台，从而将数据共同依赖于他们自己的数据和智能。医疗保健领域有一些有趣的事情，包括公司，Cynerio，在医院网络上执行被动网络发现，设备分类和异常检测。我们还开始在会议上看到越来越多的工业安全控制（ISC）供应商。人们与我们交谈的人对CVE非常积极，大约有20家对CNA计划的兴趣以及成为CNA的可能性。

行动：n/a

公开讨论

亚马逊Alexa问题（Chris Coffin）

讨论：Amazon Alexa的问题可能会记录您不希望录制的信息和对话。这里有一个物联网和SaaS问题。这需要CVE吗？他与亚马逊有关于这个话题的沟通。他们并不是将其视为CVE（他们宁愿不发布它）。库尔特（Kurt）进行了一些研究 - 如果不录制，则应在顶部点亮红色LED灯。作为用户，我是否可以控制麦克风？您应该获得警报并允许它。在这种情况下，使用Alexa使用和部署Alexa的方式，您不会盯着它。Alexa具有非常敏感的麦克风。 It can record if you’re not in the same room—and you can’t see the LED light, which indicates if it’s recording or not. Amazon is saying they will fix this to some degree—can we change the behavior of Alexa to mitigate the problem? Amazon thinks yes. Would the CVE be against Alexa, or a component of that device?

小组共识：肯特 - 不准备说这是一个脆弱性；戴夫也这么说。贝弗利还没有意见。克里斯·约翰逊（Chris Johnson）需要更仔细地研究这个问题。帕斯卡（Pascal）坚信这是一个脆弱性，但愿意不需要CVE（但他认为确实如此）的可能性。克里斯·科芬（Chris Coffin）认为与乔纳森（Jonathan）类似 - 我们应该专门为重新提交功能编写CVE。董事会成员在呼叫上的共识是，如果发布了CVE，则需要以非常狭窄的描述书写。

行动：

此问题将在CVE董事会电子邮件列表的帖子中汇总，以进行进一步讨论。

行动项目摘要

• Amazon Alexa漏洞讨论将在CVE董事会电子邮件列表（M​​ITER）的帖子中汇总
• 用户故事的开发将继续，简介图表将更新（MITER）。
• 在CVE宪章获得批准后，将发送有关CNA工作组建立的电子邮件列表（M​​ITER）。
• 有关章程更新过程（MITER）步骤4的开始，请通过电子邮件将其发送给董事会。
• 乔纳森·埃文斯（Jonathan Evans）与JPCERT联系以确定其作为根CNA的进度，包括来自JPCERT的谁将与根CNA上的董事会合作。
• 设置CVE董事会审查自动化工作组宪章的日期。

重大决定：

没有任何

依恋：CVE董事会Meeting 2 May 2018.docx
描述：CVE董事会Meeting 2 May 2018.docx